핵심 요약
- 사건: 구글이 2026년 6월 12일 중국 기반 스미싱 조직을 공식적으로 소송함
- 악용 AI: 제미나이(Gemini)로 문자 메시지와 피싱 페이지를 자동 생성한 것으로 추정됨
- 도구: 피싱 키트 Outsider를 PhaaS 형태로 운영해 다수 공격자에게 배포한 것으로 보임
생성형 AI의 오용은 이제 단발성 공격이 아니라 PhaaS와 결합된 상시형 위협으로 진화하고 있으며, 보안팀은 공급망과 다크웹 시그널을 결합한 조기 경보 체계를 갖춰야 합니다.
2026년 6월 12일, 구글이 중국에 거점을 둔 사이버 범죄 조직을 상대로 법적 조치를 취했다고 발표했습니다. 이번 사건은 생성형 AI가 피싱 공격의 실질적 도구로 사용된 정황이 명시적으로 거론된 점에서 의미가 크며, 문자 기반 스미싱 공격이 PhaaS 형태로 대중화되고 있음을 다시 한번 확인시켰습니다. 본문에서는 사건의 기술적 배경과 국내 보안 실무자가 즉시 참고할 대응 시사점을 정리합니다.
사건 개요: 구글 소송의 핵심 쟁점
구글의 소송은 자사의 AI 에이전트인 제미나이(Gemini)가 SMS 스미싱 메시지와 가짜 로그인 페이지를 만드는 데 악용되었다는 판단에서 출발한 것으로 분석됩니다. 공격의 최종 피해자는 미국 내 일반 이용자들로, 택배 추적, 통신비 고지, 정부 기관 사칭 등 일상적인 문맥을 위장한 문자가 유포된 것으로 알려졌습니다.
피해 대상과 공격 채널
이번 공격은 이메일 피싱이 아닌 SMS라는 점이 특징입니다. 모바일 환경에서는 링크 클릭이 단순한 한 번의 탭으로 이어지기 때문에 사용자 대응 시간이 짧고, 발신자 번호 위조가 비교적 용이해 공격자에게 유리한 채널입니다. 특히 미국에서는 통신 인프라 특성상 문자 기반 2단계 인증(2FA) 알림이 보편화되어 있어, 이를 사칭하는 문자 메시지는 높은 클릭률을 기대할 수 있습니다.
중국 기반 조직의 운영 구조 추정
소스 기사에 따르면 조직은 PhaaS 키트 Outsider를 개발 및 운영한 것으로 알려졌습니다. 이는 공격 도구를 직접 개발하지 않아도 가입 비용만 지불하면 즉시 스미싱을 시작할 수 있는 구조로, 공격의 진입 장벽을 크게 낮추는 요인으로 작용합니다. 다크웹 포럼과 폐쇄형 텔레그램 채널을 결합한 다층적 유통 구조를 가질 가능성이 높습니다.
PhaaS 키트 Outsider의 기술적 특징
PhaaS는 Phishing-as-a-Service의 약자로, 공격 인프라를 월정액이나 일회성 라이선스 형태로 판매하는 서비스 모델입니다. Outsider는 그중에서도 문자 메시지 자동화 기능을 강조한 것으로 추정되며, 미국 등 다양한 언어권의 문자를 단일 콘솔에서 생성할 수 있는 특징을 갖출 것으로 보입니다.
문자 메시지 자동 생성과 다국어 지원
기존 스미싱은 정해진 문구 템플릿을 다수 만들어 무차별 발송하는 방식이었습니다. 그러나 제미나이 같은 대규모 언어 모델이 결합되면, 수신자의 이름, 지역, 통화 단위, 인근 택배 회사명 등 가벼운 맥락 정보만 입력해도 자연스러운 문장 변형이 실시간으로 생성됩니다. 이는 단순 키워드 기반 필터링만으로는 차단이 어려워지는 직접적인 원인이 됩니다.
피싱 페이지 템플릿과 우회 기법
Outsider는 아마존, 페덱스, USPS, IRS 등 주요 브랜드의 로그인 페이지를 모방한 템플릿을 기본 탑재한 것으로 보입니다. 일부 버전은 클라우드 기반 도메인 프론팅, 캡차 자동 우회, 1회용 도메인 자동 발급 기능을 함께 제공해 보안 장비의 평판 기반 탐지를 회피하는 데 주력합니다. 결과적으로 단일 IP의 평판이 무의미해지는 환경이 만들어집니다.
제미나이 악용이 의미하는 보안 위협의 질적 변화
이번 사건은 AI가 단순한 글쓰기 도우미를 넘어 공격의 자동화 엔진으로 편입되었음을 보여줍니다. 위협의 양적 증가뿐 아니라 문체와 맥락의 정교화라는 질적 변화가 동시에 진행되고 있다는 점이 핵심입니다.
기존 자동화 스미싱과의 문체·맥락 차이
과거 자동화 스미싱은 번역투 문장, 어색한 조사 사용, 정형화된 단어로 탐지될 확률이 높았습니다. 반면 제미나이 같은 모델을 거친 텍스트는 문법적 오류가 적고, 수신자가 사용하는 표현과 문화적 맥락까지 학습된 결과물을 출력합니다. 단순 문자열 매칭으로 차단하던 기존 보안 정책의 한계가 뚜렷해지는 지점입니다.
탐지 우회와 소셜 엔지니어링 정교화
생성형 AI는 단순한 문장 생성을 넘어 대화 흐름 자체를 설계할 수 있습니다. 예를 들어 첫 문자가 답장되지 않으면 일정 시간 후 후속 메시지를 자동으로 보내는 2차 스미싱 흐름, 상담원 사칭 대화의 즉각적 응답 등을 구현할 수 있습니다. 이는 전통적인 단발성 스미싱과 구별되는, 지속형 소셜 엔지니어링 공격으로의 이행을 의미합니다.
국내 기업·이용자를 위한 대응 권고
스미싱 위협은 특정 국가에 한정되지 않습니다. PhaaS 키트는 언어 모듈만 교체하면 한국 이용자를 대상으로도 즉시 재배치될 수 있으므로, 국내에서도 동일한 위협이 발생할 가능성을 전제로 대비해야 합니다.
이용자 측면의 기본 예방 수칙
이용자가 가장 먼저 챙겨야 할 것은 링크를 열기 전 발신 번호와 URL의 정합성을 확인하는 습관입니다. 또한 공인된 통신사 앱의 스팸 필터 기능을 항상 활성화하고, 택배·금융 관련 문자는 공식 앱에서 직접 조회하는 방식이 안전합니다. 출처가 불분명한 문자의 링크를 클릭한 뒤에는 즉시 비밀번호 변경과 2단계 인증 재설정을 진행해야 합니다.
기업 보안팀의 AI 시대 위협 인텔리전스 강화
기업 보안팀은 내부 문자 모니터링 정책과 함께, 다음과 같은 위협 인텔리전스 체계를 갖추는 것이 권고됩니다.
| 영역 | 핵심 과제 | 주요 시그널 |
|---|---|---|
| 외부 위협 인텔리전스 | PhaaS 마켓 모니터링 | 다크웹 포럼, 텔레그램 채널, 신규 등록 도메인 |
| 내부 가시성 | 사내 문자 발송 로그 통합 분석 | 이상 단축 URL, 대량 동시 수신 패턴 |
| 탐지 고도화 | AI 생성 문자 특화 휴리스틱 도입 | 언어 모델 특유의 문장 구조, 메타데이터 흔적 |
| 대응 자동화 | 위협 인지 후 차단까지 시간 단축 | SOAR 연계, URL 차단 리스트 자동 갱신 |
마무리: 공급망과 다크웹 시그널을 결합한 조기 경보 체계의 필요성
이번 구글 소송은 단순한 한 건의 사법 절차가 아니라, 생성형 AI 오용에 대한 글로벌 IT 기업의 공식적 입장 표명으로 해석됩니다. Outsider 같은 PhaaS 키트는 이미 다크웹과 결합된 공급망을 형성하고 있으며, 새로운 변종이 등장한 뒤 실제 공격이 시작되기까지의 시간은 점점 짧아지고 있습니다. 따라서 보안팀은 외부 위협 인텔리전스를 통한 조기 시그널 포착과, 내부에서 발생하는 미세한 이상 징후의 상시 모니터링을 결합한 조기 경보 체계를 마련해야 합니다. AI로 무장한 공격자에게 대응하는 가장 현실적인 방법은, 같은 속도로 학습하고 공유하는 인텔리전스 공동체에 참여하는 것입니다.
핵심 정리
- 제미나이 악용 스미싱 소송은 생성형 AI의 범죄 오용에 대한 글로벌 IT 기업의 첫 대규모 법적 대응으로 평가됩니다.
- PhaaS 키트 Outsider는 다국어 문자 자동 생성과 탐지 우회 기능을 결합해 공격의 진입 장벽을 크게 낮추고 있습니다.
- 이용자는 발신 번호와 URL을 반드시 확인하고, 기업은 외부 인텔리전스와 내부 가시성을 결합한 조기 경보 체계를 구축해야 합니다.
참고 자료: The Hacker News, BleepingComputer